ベネッセから、子供等の個人情報が最大2070万件漏洩[1]したらしい。
これはいろいろな面で示唆深い事件だ。いくつか挙げて見よう。
- 子供のデータであること。
- 諸般の事情で名簿屋が取得できなくなっていたデータであること。
- 実際に個人の被害が確認されていること。
- 転々流通が確認され、その問題が意識されはじめたこと。
- 個人情報保護法改正のまっただ中であること。
これらのうち多くの点は、楠さんのブログ「ベネッセが埋めた名簿屋のミッシング・ピース」[2]で指摘されているので、そちらを参照されると良いと思う。(なお、転々流通の問題は、5年前にこの記事[3]で言及しているが、ようやくちまたに意識されるようになってきたようで感慨深い。実際今回の件では、複数の事業者がこのデータを販売しているが、そのうち少なくとも2つは、同じIPアドレスにサーバを持っており事実上同一であるように思われる。5年前に指摘した、個人情報ロンダリングが行われている1つの証左とみることもできるだろう。)
以下、このうちいくつかについての簡単な所感を述べる。
個人情報保護法改正のまっただ中であること
これはねぇ、絶妙のタイミングというかなんというか。6月24日に出た大綱[4]では、継続検討課題として「いわゆる名簿屋」の問題が挙げられていたわけだが、ここの優先順位が上がるのではないかと思う。この問題は法23条2項であけられた「穴」に起因する問題(=5年前に指摘したロンダリング問題)でも有るわけで、ここは産業界からの抵抗が予想されていたところなわけだが、実際に事件が起きてしまうと、セオリー通りに穴を塞ぐという結果にならざるを得ないのではないかと思う。
子供のデータの取扱いについて
この事件はまた、子供のデータについての課題をいやが上にも提起した。もともと一部の専門家の間では指摘され続けたことだが、子供のデータというのは大人のデータのとはまた違った取り扱いが求められるものである。それにはいくつかの観点が有る。
まず第一は、そのデータ利用による直接的リスクの問題である。子供は様々な観点でみて脆弱な存在である。相手を信用して良いかどうかの分別もまだつかない。そういう子供の情報が自由に流通してしまうと、子供を騙すためにその情報を使うようなことが十分にありうる。それを考えると、大人のデータよりも慎重な取扱いが必要なはずだ。(DV被害者の住所ほどではなくても。)
その意味で、機微情報に準ずる形で、直接サービスを提供する目的のため以外の子供のデータの取得は禁止しても良いと思う。
もう一つの点は、同意の有効性に係る点である。
データの取得も利用も、本来、原則、本人の同意のもとに行われるべきなはずだ。だが、子供はこの「同意」の能力を持っていない。便宜的に親などが代理で同意するわけだが、それは本人が成人した時には不本意な同意になっている可能性が十分ある。したがって「親の同意」は、子供が同意能力を身につけるまでの「一時的同意」であることに気をつける必要がある。そう考えると、代理人による同意には必ず期限があり、その期限が来たら、同意を取りなおすかデータを削除するかするというのが自然だろう。サービス利用を停止したら削除するなども必要かもしれない。
今後この辺りはしっかり議論してコンセンサスを作っていくことが必要だろう。
実際に個人の被害が確認されていること、転々流通が確認されていること
今回の件では、実際に漏洩した人々に、それを取得した人々からセールスの連絡等が入っているようだ。ベネッセはこうした被害を抑えるために、データの回収を進めたいようだが、デジタルデータは一旦外に出ると回収はほぼ不可能であろう。では、どうしたら個人の被害を抑えられるのだろうか?
一つのアイディアとしては、こうした「行為」、この場合は
(1) 本人ないしはその代理人からの同意を取得してい無い、第三者からのデータの取得
(2) 本人ないしはその代理人からの同意を取得してい無いデータ利用
の2つを規制するというのがある。(1)が実現できると、転々流通はその段階である程度止まる。さらに、もしもその名簿が既に取得されてしまっていたとしても、(2) によって、その個人にコンタクトを取るなどはできなくなり、プライバシーの状態が改善する。
データは時間の問題で漏洩する。問題はそれでも被害が最小限に抑えられるようにすることだ。
多くのデータ漏洩は、アクセス管理がきちんとしていなかったことに起因する。今回も「グループ社員以外の内部者の持ち出し」というのだから、恐らくそういう問題があったのではないかと推察する。そこはきちんと固めなければいけないのはもちろんである。そのためにはアイデンティティ管理がその基礎となることは言うまでもない。だが、このアイデンティティとアクセス管理、多くの企業では極めてなおざりになっているのが現状である。各企業は、他山の石として、この機会に再検討すると良いだろう。たとえば、「共有アカウントなんて無いよね」とか「デフォルトのシステムアカウントなんて殺してあるよね」とかとか。セキュリティは後付ではダメだ。設計段階から入れなければいけない。セキュア・バイ・ デザイン(SBD)が重要だ。[5](同時に、プライバシー・バイ・デザイン(PbD)もまた重要、とちょっと日本人で2人目のPbDアンバサダーとして宣伝してみる。)
だが、どんなにやったとしても、それは確率を減らしているだけでゼロにしているわけではない。つまり、「漏れるか漏れないか」の問題ではなく「いつどの位漏れるか」の問題なのである。
したがって、制度を設計するときには、漏れることを前提にして、漏れても被害が最小限に抑えられるように設計しなければならない。それには、究極的には「利用方法」を規制するしか無い。
折しも、個人情報保護法の改正作業のまっただ中である。個人的希望を述べるならば、「利用方法」の規制を中心に「取得方法」「保存方法」のようなデータのライフサイクルに注目した「行為」に対する規制を中心においた体系に組み変わってほしいと思っている。
[1] NHK「ベネッセ 個人情報最大2070万件流出か」 (2014/7/9), http://www3.nhk.or.jp/news/html/20140709/k10015871611000.html
[2] 楠「ベネッセが埋めた名簿屋のミッシング・ピース」(2014/7/9), 雑種路線でいこう, http://d.hatena.ne.jp/mkusunok/20140709/leak#seemore
[3] 崎村「個人情報保護法ってそんなにザルなの?」(2009/11/29), .Nat Zone, http://www.sakimura.org/2009/11/656/
[4] 首相官邸「パーソナルデータの利活用に関する制度改正大綱」(2014/6/24), http://www.kantei.go.jp/jp/singi/it2/kettei/pdf/20140624/siryou5.pdf
(以下、2014/7/17追記)
[5] 今回に関して言うと、ちゃんとアクセス制御個人毎の認証はしていたようだ。個人毎のアカウントになっていたのですぐ足が付いた(7/17に逮捕)し、アクセスにあたっては、特定の部屋から(=位置認証)、特定のPCからのアクセス(=デバイス認証)し、ネットワーク越しではデータを取り出すことはできず、WSJの報道[6]によると、USBも殺してあったようだ。セキュリティ的な落ち度というと、データのアクセス権が広範過ぎたのとログ監視をしていなかったとみられることくらいか。つまり、IAMでいうところのポリシー設定の失敗、それから運用ポリシー設定および運用自体の失敗であるように見える。これらは逆に、物理的な安全対策をなまじしっかりやっていたため、それを過信した結果なのかもしれない。いわば旧来型の境界セキュリティの限界と言うべきであり、これがIdentity中心にセキュリティを再編しなければならないと言われる所以でもある。(青字部分は7/23に補記)
[6] 時事通信社「顧客DB開発に関与=知識悪用し防止措置解除—派遣SE、逮捕状請求へ・警視庁」(2014/7/17 05:30JST) , Wall Street Journal Web版 http://jp.wsj.com/news/articles/JJ10231533482860533506220261489651978215431?tesla=y&tesla=y